基於ngn業務的防火牆控制系統及方法
2023-05-26 13:18:36
專利名稱:基於ngn業務的防火牆控制系統及方法
技術領域:
本發明涉及網絡通信技術領域,尤其涉及一種基於NGN業務的防火牆控制系統及方法。
背景技術:
NGN(Next Generation Network下一代網絡)實現了業務層與傳送層分離,傳送層基於分組和光技術,業務層提供豐富的多媒體業務。由於NGN網絡為基於IP分組技術,因此,解決NGN業務的安全和服務質量問題將備受重視。而防火牆功能作為最重要的也是使用最廣泛的網絡安全技術,其在解決NGN業務的安全問題上將會繼續應用。
目前防火牆產品主要分為兩種包過濾類防火牆和代理類防火牆。其中,包過濾類防火牆工作在傳輸層,代理類防火牆工作在應用層。
所述的包過濾防火牆又進一步包括以下四種工作方式(1)靜態包過濾(Static Packet Filter)防火牆靜態包過濾防火牆實現了根據數據包頭信息的靜態包過濾。靜態包過濾防火牆對所接收的每個數據包做允許拒絕的決定。防火牆審查每個數據報以便確定其是否與某一條包過濾規則匹配。過濾規則基於可以提供給IP轉發過程的包頭信息。包過濾主要檢查包頭中的下列內容IP源地址、IP目標地址、協議類型(TCP包、UDP包和ICMP包)、TCP或UDP包的目的埠、TCP或UDP包的源埠、ICMP消息類型、TCP包頭的ACK位等。
靜態包過濾防火牆的缺點是維護比較困難;不能有效防止黑客的欺騙攻擊;不支持應用層的過濾,不能防範數據驅動型攻擊;無法對網絡上流動的信息提供全面的控制。因此,靜態包過濾的安全性較低。
(2)動態包過濾(Dynamic Packet Filter)防火牆採用動態設置包過濾規則的方法,避免了靜態包過濾所具有的問題。動態包過濾只有在用戶的請求下才打開埠,並且在服務完畢之後關閉埠,這樣可以降低受到與開放埠相關的攻擊的可能性。防火牆可以動態的決定哪些數據包可以通過內部網絡的鏈路和應用程式層服務。可以配置相應的訪問策略,只有在允許範圍之內才自動打開埠,當通信結束時關閉埠。
動態包過濾防火牆在兩個方向上都最小化了暴露埠的數量,給網絡提供更高的安全性。對於許多應用程式協議而言,例如媒體流,動態IP包過濾提供了處理動態分配埠的最安全方法。
(3)狀態檢測(Stateful Inspection)防火牆狀態檢測防火牆在包過濾的同時,檢查數據包之間的關聯性,檢查數據包中動態變化的狀態碼。它有一個監測引擎,採用抽取有關數據的方法對網絡通信的各層實施監測,抽取狀態信息,並動態地保存起來作為以後執行安全策略的參考。當用戶訪問請求到達網關的作業系統前,狀態監視器要抽取有關數據進行分析,結合網絡配置和安全規定做出接納、拒絕、身份認證、報警或給該通信加密等處理動作。
狀態檢測防火牆保留狀態連接表,並將進出網絡的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。目前市場上的主流防火牆,一般都是狀態檢測防火牆。狀態檢測的防火牆的安全性得到一定程度的提高,但是在對付DDoS攻擊、實現應用層內容過濾,病毒過濾方面的表現也不盡人意。
(4)深度包檢測(Deep Packet Inspection)防火牆深度包檢測技術融合入侵檢測和攻擊防範的功能,它能深入檢查信息包流,查出惡意行為,可以根據特徵檢測和內容過濾,來尋找已知的攻擊。並理解什麼是「正常的」通信,同時阻止異常的訪問。深度包檢測引擎以基於指紋匹配、啟發式技術、異常檢測以及統計學分析等技術來決定如何處理數據包。深度包檢測防火牆能有效阻止DDoS攻擊、病毒傳播問題和高級應用入侵問題。
目前,所述的代理防火牆技術也經歷了應用層代理(Proxy)、電路層代理到自適應代理防火牆的演變。
其中,所述的應用層代理(Application Proxy)也被稱為應用層網關(Application Gateway)。代理服務是運行在防火牆主機上的專門的應用程式或者伺服器程序。應用層代理為一特定應用服務提供代理,它對應用協議進行解析並解釋應用協議的命令。
應用層代理防火牆的能夠解釋應用協議,支持用戶認證,從而能對應用層的數據進行更細粒度的控制。缺點是效率低,不能支持大規模的並發連接,只適用於單一協議。
在網絡安全解決方案中,應用代理和包過濾類防火牆得到了廣泛應用。應用代理和包過濾類防火牆可以並存,分別從兩個層面對網絡中傳輸的數據包進行過濾處理。
在目前NGN安全解決方案中以及正在研究的資源和準入控制框架中,只有動態包過濾會接受來自會話控制代理的打開/關閉請求,即SCPF通過RACF控制BGF上的動態包過濾的打開和關閉,類似於自適應代理防火牆設備中代理與包過濾器之間的控制和互動。
然而,NGN傳送層中靜態包過濾、狀態檢測和深度包檢測的設置由管理員進行,只能是按運營策略配置的粗粒度安全分級處理,其存在對NGN業務層(包括會話控制代理)是不可見的。當一個防火牆同時提供靜態包過濾、動態包過濾、狀態檢測和深度包檢測等不同安全級別的包過濾功能時,無法根據用戶需求和會話類型動態選擇和執行不同安全級別的包過濾功能。
發明內容
鑑於上述現有技術所存在的問題,本發明的目的是提供一種基於NGN業務的防火牆控制系統及方法,使得基於包過濾的防火牆可以執行NGN每用戶每會話細粒度的安全分級處理。
本發明的目的是通過以下技術方案實現的本發明提供了一種基於NGN業務的防火牆控制系統,包括應用層代理模塊包含基於應用代理的防火牆功能,位於NGN業務控制設備中,用於解析應用層信令,進行信令流的安全檢測,確定業務媒體流的安全級別需求信息,並提供給策略決策功能實體;策略決策功能實體根據業務媒體流的安全級別需求信息及保存的策略信息確定業務媒體流的安全級別控制信息,並提供給基於包過濾的防火牆功能模塊;防火牆功能模塊設置於網絡邊界設備中,用於根據所述的媒體流的安全級別控制信息對流經的業務媒體流進行安全檢測。
所述的業務控制設備包括NGN的多媒體子系統IMS中的代理呼叫會話控制功能實體P-CSCF,或者,NGN的軟交換系統中的呼叫代理設備,或者,NGN其他業務系統中含有應用層代理功能的業務控制設備。
所述的策略決策功能實體可以設置於業務控制設備或網絡邊界設備中,也可以設置為一個獨立的設備。
所述的防火牆功能模塊具體包括
包過濾方式選擇模塊用於根據策略決策功能實體提供的媒體流安全級別控制信息確定針對業務媒體流進行安全檢測的防火牆包過濾工作方式,並啟用相應的包過濾處理模塊中相應的基於包過濾的防火牆處理功能;包過濾處理模塊包括設置的各種防火牆包過濾工作方式的防火牆功能,各種防火牆包過濾工作方式的防火牆功能在包過濾方式選擇模塊的控制下啟用,並對相應的業務進行安全檢測。
本發明提供了一種基於NGN業務的防火牆控制方法,包括A、業務控制設備中的應用層代理模塊解析應用層信令,進行信令流的安全檢測,確定業務媒體流的安全級別需求信息,並提供給策略決策功能實體;B、策略決策功能實體根據所述的媒體流的安全級別需求信息以及保存的策略信息確定媒體流的安全級別控制信息,並提供給網絡邊界設備;C、網絡邊界設備中的防火牆功能模塊根據所述的媒體流的安全級別控制信息對流經的業務媒體流進行安全檢測。
所述的步驟A包括應用層代理模塊對應用層信令進行解析,進行信令流的安全檢測,並根據應用屬性或者用戶屬性確定業務媒體流的安全級別需求信息;將所述的業務的媒體流標識信息和所述的媒體流的安全級別需求信息一起提供給策略決策功能實體。
所述的步驟A還包括將業務的媒體流標識信息和安全級別需求信息連同業務的服務質量參數需求信息一同提供給策略決策功能實體。
所述的步驟B包括策略決策功能實體根據所述的媒體流的安全級別需求信息以及保存的策略信息將業務媒體流的安全級別需求信息映射為媒體流的安全級別控制信息,並提供給相應的網絡邊界設備。
所述的步驟C包括網絡邊界設備中的防火牆功能模塊根據所述的媒體流的安全級別控制信息選擇確定對流經的業務媒體流進行安全檢測的防火牆包過濾工作方式;根據選擇確定的防火牆包過濾工作方式對流經的業務媒體流進行安全檢測。
所述的防火牆包過濾工作方式包括動態包過濾方式防火牆、狀態檢測方式防火牆和/或深度包檢測方式防火牆。
由上述本發明提供的技術方案可以看出,本發明通過業務層的會話控制代理功能與傳送層的基於包過濾的防火牆功能之間的協同工作,使得基於包過濾的防火牆可以執行NGN每用戶每會話細粒度的安全分級處理,可根據用戶需求和會話類型動態選擇不同安全級別的包過濾工作方式來防止資源盜用、IP位址偽裝、拒絕服務和高級應用入侵等網絡攻擊。
而且,本發明中,業務安全級別需求信息和網絡安全級別控制信息可以獨立定義,由策略決策功能依據策略規則進行映射,實現了NGN業務層和傳送層的分離特點。
另外,本發明中,應用代理防火牆功能和基於包過濾的防火牆功能分別位於業務控制設備和網絡邊界設備上,各自的技術演進和功能增強獨立進行,不會互相影響,只需修改策略決策功能上的策略規則即可協同工作。
圖1為本發明提供的防火牆動態控制系統的結構示意圖;圖2為本發明提供的方法的實現流程示意圖。
具體實施例方式
在NGN業務層體系架構中,會話控制代理功能是一個必不可少的部件,如IMS(多媒體業務子系統)中的P-CSCF(代理呼叫會話控制功能),本質上就是應用代理,是多媒體會話業務的第一個接觸點,進行用戶認證、應用協議解析和代理、以及應用層的NAPT(網絡地址和埠轉換器)。在NGN傳送層體系架構中,基於包過濾的防火牆功能是必不可少的安全部件,包括靜態包過濾、動態包過濾、狀態檢測和深度包檢測功能,通常部署在網絡邊緣,保護網絡內部部件不受攻擊。
為此,本發明提供了一種支持NGN業務安全級別的防火牆動態控制系統和方法。通過業務層的會話控制代理功能與傳送層的基於包過濾的防火牆功能之間的協同工作,使得基於包過濾的防火牆可以執行NGN針對每個用戶每個會話的細粒度的安全分級處理,可根據用戶需求和會話類型動態選擇不同安全級別的包過濾工作方式來防止資源盜用、IP位址偽裝、拒絕服務和高級應用入侵等網絡攻擊,如選擇動態包過濾、狀態檢測或深度包檢測等包過濾工作方式。
本發明提供了一種支持NGN業務安全級別的防火牆動態控制系統和方法。本發明所提供的系統和方法可以獨立應用作為NGN業務的安全方案,也可以集成在NGN的資源和準入控制框架中作為NGN業務的傳送服務質量、安全和NAPT穿越的綜合方案。
本發明所述的防火牆動態控制系統的結構框圖如圖1所示,具體包括(1)應用層代理(Application Proxy)模塊,包含基於應用代理的防火牆功能,位於業務控制設備中,用於對應用層信令進行解析處理,進行信令流的安全檢測,確定業務媒體流的安全級別需求信息,並提供給策略決策功能實體;
所述的業務控制代理設備可以為NGN IP多媒體子系統(IMS)中的P-CSCF(代理呼叫會話控制功能)設備,或者NGN軟交換系統(Softswitch)中的CallAgent(呼叫代理)設備,或者,NGN其他業務系統中含有應用層代理功能的業務控制設備。
(2)策略決策功能實體,用於將所述的業務媒體流的安全級別需求信息映射為媒體流的安全級別控制信息,並提供給網絡邊界設備中的基於包過濾的防火牆功能模塊;策略決策功能實體可以是一個獨立設備,也可以是集成在業務控制設備或網絡邊界設備中的一個功能模塊。
(3)防火牆功能模塊,設置於網絡邊界設備中,用於根據所述的媒體流的安全級別控制信息對流經的業務媒體流進行基於包過濾的安全檢測,該模塊具體包括包過濾方式選擇模塊用於根據策略決策功能實體提供的媒體流的安全級別控制信息確定針對業務媒體流進行安全檢測的防火牆包過濾工作方式,並啟用相應的包過濾處理模塊中相應的基於包過濾的防火牆處理功能;包過濾處理模塊包括設置的各種防火牆包過濾工作方式的防火牆功能,各種防火牆包過濾工作方式的防火牆功能在包過濾方式選擇模塊的控制下啟用,並對相應的業務媒體流進行安全檢測。
所述的各種防火牆包過濾工作方式包括Dynamic packet filter(動態包過濾)、Stateful inspection(狀態檢測)和Deep packet inspection(深度包檢測)防火牆功能,等等。
基於上述防火牆動態控制系統,本發明所述的方法的具體實現方式如圖2所示,具體包括步驟21業務控制設備執行應用層代理功能,對應用層信令流進行解析、安全檢測和代理,即實現基於應用代理的防火牆技術。基於應用代理的防火牆功能包含於「應用層代理」功能模塊中,同時,支持用戶認證,用於對接入的用戶進行安全檢查,及接入認證處理;步驟22業務控制設備根據應用屬性或者用戶屬性確定本次應用業務的媒體流安全級別,並將該業務的媒體流標識信息和安全級別需求信息提供給策略決策功能實體;所述的應用屬性或用戶屬性包括業務類型(語音流可能比視頻流的安全要求高),用戶向運營商預定的安全要求(比如企業用戶的安全要求高),等等,相應的應用屬性或用戶屬性信息可能保存在用戶資料庫或業務資料庫中,也可能是配置在業務控制設備中的粗分類信息,由商業運營模式決定,很難標準化或專利保護;根據需要還可以連同其它QoS(服務質量)和優先級等需求信息一同提供給策略決策功能實體;步驟23策略決策功能基於策略規則將所收到的該業務的媒體流的安全級別需求信息映射為媒體流的安全級別控制信息;所述的策略規則具體可以由運營商根據設備部署和商業運營模式確定;步驟24策略決策功能將該業務的媒體流標識信息和媒體流的安全級別控制信息提供給網絡邊界設備,以控制網絡邊界設備中的基於包過濾的防火牆功能;根據應用需要,在策略決策功能實體上還可以連同其它QoS和NAPT控制信息一同提供給網絡邊界設備;步驟25網絡邊界設備根據所收到的媒體流的安全級別控制信息選擇相應安全級別的防火牆包過濾工作方式,例如,可以選擇動態包過濾、狀態檢測或深度包檢測等防火牆包過濾工作方式,對該業務的媒體流執行基於包過濾的防火牆功能,以防止資源盜用、IP位址偽裝、拒絕服務和高級應用入侵等網絡攻擊。
綜上所述,本發明中通過業務層的會話控制代理功能與傳送層的基於包過濾的防火牆功能之間的協同工作,使得基於包過濾的防火牆可以執行NGN每用戶每會話細粒度的安全分級處理,可根據用戶需求和會話類型動態選擇不同安全級別的防火牆包過濾工作方式來防止資源盜用、IP位址偽裝、拒絕服務和高級應用入侵等網絡攻擊。
以上所述,僅為本發明較佳的具體實施方式
,但本發明的保護範圍並不局限於此,任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內,可輕易想到的變化或替換,都應涵蓋在本發明的保護範圍之內。因此,本發明的保護範圍應該以權利要求的保護範圍為準。
權利要求
1.一種基於NGN業務的防火牆控制系統,其特徵在於,包括應用層代理模塊包含基於應用代理的防火牆功能,位於NGN業務控制設備中,用於解析應用層信令,進行信令流的安全檢測,確定業務媒體流的安全級別需求信息,並提供給策略決策功能實體;策略決策功能實體根據業務媒體流的安全級別需求信息及保存的策略信息確定業務媒體流的安全級別控制信息,並提供給基於包過濾的防火牆功能模塊;防火牆功能模塊設置於網絡邊界設備中,用於根據所述的媒體流的安全級別控制信息對流經的業務媒體流進行安全檢測。
2.根據權利要求1所述的基於NGN業務的防火牆控制系統,其特徵在於,所述的業務控制設備包括NGN的多媒體子系統IMS中的代理呼叫會話控制功能實體P-CSCF,或者,NGN的軟交換系統中的呼叫代理設備,或者,NGN其他業務系統中含有應用層代理功能的業務控制設備。
3.根據權利要求1所述的基於NGN業務的防火牆控制系統,其特徵在於,所述的策略決策功能實體可以設置於業務控制設備或網絡邊界設備中,也可以設置為一個獨立的設備。
4.根據權利要求1、2或3所述的基於NGN業務的防火牆控制系統,其特徵在於,所述的防火牆功能模塊具體包括包過濾方式選擇模塊用於根據策略決策功能實體提供的媒體流安全級別控制信息確定針對業務媒體流進行安全檢測的防火牆包過濾工作方式,並啟用相應的包過濾處理模塊中相應的基於包過濾的防火牆處理功能;包過濾處理模塊包括設置的各種防火牆包過濾工作方式的防火牆功能,各種防火牆包過濾工作方式的防火牆功能在包過濾方式選擇模塊的控制下啟用,並對相應的業務進行安全檢測。
5.一種基於NGN業務的防火牆控制方法,其特徵在於,包括A、業務控制設備中的應用層代理模塊解析應用層信令,進行信令流的安全檢測,確定業務媒體流的安全級別需求信息,並提供給策略決策功能實體;B、策略決策功能實體根據所述的媒體流的安全級別需求信息以及保存的策略信息確定媒體流的安全級別控制信息,並提供給網絡邊界設備;C、網絡邊界設備中的防火牆功能模塊根據所述的媒體流的安全級別控制信息對流經的業務媒體流進行安全檢測。
6.根據權利要求5所述的基於NGN業務的防火牆控制方法,其特徵在於,所述的步驟A包括應用層代理模塊對應用層信令進行解析,進行信令流的安全檢測,並根據應用屬性或者用戶屬性確定業務媒體流的安全級別需求信息;將所述的業務的媒體流標識信息和所述的媒體流的安全級別需求信息一起提供給策略決策功能實體。
7.根據權利要求6所述的基於NGN業務的防火牆控制方法,其特徵在於,所述的步驟A還包括將業務的媒體流標識信息和安全級別需求信息連同業務的服務質量參數需求信息一同提供給策略決策功能實體。
8.根據權利要求5所述的基於NGN業務的防火牆控制方法,其特徵在於,所述的步驟B包括策略決策功能實體根據所述的媒體流的安全級別需求信息以及保存的策略信息將業務媒體流的安全級別需求信息映射為媒體流的安全級別控制信息,並提供給相應的網絡邊界設備。
9.根據權利要求5至8任一項所述的基於NGN業務的防火牆控制方法,其特徵在於,所述的步驟C包括網絡邊界設備中的防火牆功能模塊根據所述的媒體流的安全級別控制信息選擇確定對流經的業務媒體流進行安全檢測的防火牆包過濾工作方式;根據選擇確定的防火牆包過濾工作方式對流經的業務媒體流進行安全檢測。
10.根據權利要求9所述的基於NGN業務的防火牆控制方法,其特徵在於,所述的防火牆包過濾工作方式包括動態包過濾方式防火牆、狀態檢測方式防火牆和/或深度包檢測方式防火牆。
全文摘要
本發明提供了一種基於NGN業務的防火牆控制系統及方法。本發明的核心包括首先,業務控制設備中的應用層代理模塊解析應用層信令,進行信令流的安全檢測,確定業務媒體流的安全級別需求信息,並提供給策略決策功能實體;然後,策略決策功能實體根據所述的媒體流的安全級別需求信息以及保存的策略信息確定相應的媒體流的安全級別控制信息,並提供給網絡邊界設備;最後,網絡邊界設備中的基於包過濾的防火牆功能模塊根據所述的媒體流的安全級別控制信息對流經的業務媒體流進行安全檢測。因此,本發明的實現使得基於包過濾的防火牆可以執行NGN每用戶每會話細粒度的安全分級處理,可根據用戶需求和會話類型動態選擇不同安全級別的包過濾工作方式進行媒體流的安全檢測,來防止資源盜用、IP位址偽裝、拒絕服務和高級應用入侵等網絡攻擊。
文檔編號H04L12/56GK1905555SQ20051008572
公開日2007年1月31日 申請日期2005年7月30日 優先權日2005年7月30日
發明者劉恩慧 申請人:華為技術有限公司